Os cibercriminosos aumentaram suas atividades e a prova disso está nos dados apurados pela Salt Security com base em uma combinação de respostas de pesquisas e dados empíricos de clientes da empresa. O levantamento mostra um aumento de 400% nas invasões exclusivas nos últimos seis meses, sendo que cerca de 80% delas ocorreram por meio de APIs autenticadas.
De acordo com relatório sobre segurança de APIs do Salt Labs, quase metade (48%) dos entrevistados afirma que a segurança de API se tornou uma discussão que envolve os chefes executivos de suas organizações. O trabalho também revela que 94% dos participantes da pesquisa tiveram problemas de segurança em APIs de produção no ano passado, com 17% afirmando que suas organizações sofreram uma violação de dados como resultado de lacunas de segurança nas APIs. As descobertas do Salt Labs reforçam o porquê de 2023 ser chamado de “Ano da Segurança da API”.
O compilado deste primeiro trimestre fornece os insights mais profundos até agora, incluindo pesquisas de vulnerabilidade de API “no campo” do Salt Labs, que demonstram como as principais preocupações dos entrevistados em segurança de API se manifestam em cenários do mundo real.
“O rápido aumento dos ataques, além dos dados fornecidos pelos entrevistados da pesquisa, reflete uma crescente compreensão dos chefes executivos sobre a importância da segurança de API desenvolvida especificamente para reduzir o risco dos negócios”, disse Roey Eliyahu, cofundador e CEO da Salt Security, em um comunicado de imprensa. Ele observa que o custo das violações de API, como as experimentadas recentemente pela T-Mobile, Toyota e Optus, põe em risco novos serviços e reputação das marcas, além das operações comerciais.
Atacantes mais implacáveis
Os dados mostram que os ataques de API estão aumentando e os cibercriminosos estão visando APIs internas e autenticadas. Os dados da nuvem Salt mostram que 78% dos ataques vêm de usuários aparentemente legítimos, mas que na verdade são invasores que alcançaram maliciosamente a autenticação adequada. Das tentativas de ataque, 8% são perpetradas contra APIs internas, normalmente deixadas totalmente desprotegidas, e nada menos do que 4.845 atacantes únicos operaram em dezembro de 2022, um aumento de 400% em relação a apenas seis meses antes.
Veja isso
Por que a segurança de APIs deve ser prioridade absoluta dos CISOs
APIs inseguras podem custar às empresas US$ 75 bi globalmente
Empresas grandes e pequenas têm muitas lacunas de segurança desconhecidas. O relatório aponta que 90% das investigações realizadas pelo Salt Labs revelam vulnerabilidades de segurança de API e 50% delas devem ser consideradas críticas. Já 41% dos entrevistados afirmaram ter identificado uma vulnerabilidade em suas APIs de produção, um número que flutuou entre 39% e 55% desde a pesquisa inicial, mas que provavelmente é substancialmente maior na realidade, de acordo com o Salt Labs.
A pesquisa também apontou que a grande maioria das organizações ainda não possui programas de segurança de API maduros. Empresas grandes e pequenas têm muitas lacunas de segurança desconhecidas e somente 18% dos entrevistados dizem que estão muito confiantes de que seus inventários de API fornecem detalhes suficientes sobre suas APIs e as informações de identificação pessoal PII ou os dados confidenciais contidos nelas.
